Squid . autenticación NCSA y problema.

[brainofkwolf]

Saludos tropa.
Tengo configurado el squid con autenticación de usuario por NCSA y aparentemente funciona bien, salvo que cuando me pide la autenticación si la cancelo pues simplemente permite la navegación.
No debiera simplemente denegarla. Cuando pones mal el nombre de usuarios y contraseña te deniega pero cuando cancelas !!!! TE PERMITE !!!!! ¿Eso debe ser?

Buscando en var/log/squid encontré esto en una parte de los logs:

helperOpenServers: Starting 5 'ncsa_auth' processes
User-Agent logging is disabled
Referer logging is disabled.
....
temporary disabling (Forbidden) digest from prox.sld.cu

¿Alguna idea....? Gracias.

[103]

¿Qué versión del Squid usas?

En la sentencia cache_peer del archivo de configuración de Squid puedes agregar la opción no-digest para evitar lo que planteas que dice el log (temporary disabling (Forbidden) digest from prox.sld.cu)

Normalmente deberías tener algo así en tu configuración del Squid:

Código: Seleccionar todo

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd

acl red src 192.168.0.0/24
acl usuarios proxy_auth /etc/squid/usuarios

http_access allow red usuarios
http_access deny all

Esto es un ejemplo sencillo, muy sencillo, traduciendo:

- La primera línea indica que se usará la autenticación NCSA y que el archivo con las contraseñas de los usuarios está en /etc/squid/passwd.
- La ACL "red" de tipo src es la red LAN del sistema y la ACL "usuarios" de tipo proxy_auth es un fichero de texto que contiene la lista de usuarios.
- La sentencia http_access permite el uso a la red definida en la ACL "red" y a los usuarios definidos por la ACL "usuarios".
y por último Squid deniega todo con la sentencia http_access deny all.

Es decir, si el usuario no se autentica no podrá navegar. No sé cómo tendrás tu archivo de configuración.

[brainofkwolf]

Bueno parece que la cosa anda por ahí....Antes de cambiar par de cosas deja preguntar.
1. ¿Un fichero es para las contraseñas (/etc/squid/passwd en el ejemplo) y otro es para los usuarios (/etc/squid/usuarios?

Mi fichero de configuración está así...

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/claves

acl interna src "/etc/squid/pc_navegacion/pcs"
acl clave proxy_auth REQUIRED

http_access allow interna clave
http_access deny all

esto no difiere mucho de lo que está encima ...
yo añado usuarios así
htpasswd /etc/squid/claves nombredeusuario
password: *********
re-type password: ********
User add

pero....
HUMMM, Yo no tengo ningún fichero con el nombre clave , donde están mis usuarios y password se llama claves!!!
Observando esto se me reafirma la duda y la pregunta que hice un poquito más arriba: ¿Son dos ficheros distintos? Si no es muy fácil con cambiar una s tengo.

[103]

http_access allow interna clave

En esta línea está el problema, primero tienes que hacer un fichero que contenga los nombres de usuarios con la acl proxy_auth como te explicaba arriba.

Código: Seleccionar todo

acl usuarios proxy_auth /etc/squid/usuarios

Código: Seleccionar todo

http_access allow interna usuarios
http_access deny all

esto no difiere mucho de lo que está encima ...
yo añado usuarios así
htpasswd /etc/squid/claves nombredeusuario
password: *********
re-type password: ********
User add

User add no te hace falta, con la línea de htpasswd es suficiente

pero....
HUMMM, Yo no tengo ningún fichero con el nombre clave , donde están mis usuarios y password se llama claves!!!
Observando esto se me reafirma la duda y la pregunta que hice un poquito más arriba: ¿Son dos ficheros distintos? Si no es muy fácil con cambiar una s tengo.

Sí, son dos ficheros distintos, uno que tiene los pares usuarios/contraseñas y el otro que tiene los nombres de usuarios nada más.

[brainofkwolf]

Bueno, continúo con el mismo problema. ya arreglé los ficheros, los usuarios. Si cancelo la autenticación puedo navegar sin problemas ninguno.
Voy a volver a configurar desde 0 a ver que pasa.Squid 2.7Stable

[hugo]

Puede que el problema no sea de Squid, sino de forwarding. Intenta esto a ver si el problema cesa:

Código: Seleccionar todo

sysctl -w net.ipv4.ip_forward=0
sysctl -p

[brainofkwolf]

Gracias Hugo probé con lo que me dijistes y me "trancó" .
De todos modos yo había cacharreado algunas cosillas y he decidido salomónicamente empezar a configurar el squid desde 0 otra vez.
Sería bueno que alguien me recomendara si utilizar el 2.7 o el 3 etc.
También me sería muy útil un squid.conf (que esté pinchando bien) y al menos el encabezado de cómo se ponen "las cosas" dentro de los ficheros que uno usa para acl.
Por ejemplo la forma de escribir las direcciones en los ficheros, como van las ip, si unas atrás de otras separadas por comas o en una lista etc.
Y si hay una url de un buen tuto por ahí me la ponen.
Sé que esto no debe hacerse por seguridad pero mi correo es vcljavier@infomed.sl.cu

[brainofkwolf]

Saludos Tropaaa!!!
hasta ahora marcha bien el asunto.
Parece que tenía un problemita un poco más "gordo"en el squid. Lo configuré desde cero y la autenticación ya funciona "casi" bien.
Digo casi porque en .sld.cu la navegación es excluida de proxy por lo que si cancelo la autenticación se muestran perfectamente los contenidos, pero si el dominio es distinto, por ejemplo .cu o .org y cancelo pues cancela!!!!!
Bueno ahora me queda perfilar algunas reglas.... denegar algunos sitios y eso.
veremos cómo funciona.

[hugo]

... la autenticación ya funciona "casi" bien. Digo casi porque en .sld.cu la navegación es excluida de proxy por lo que si cancelo la autenticación se muestran perfectamente los contenidos, pero si el dominio es distinto, por ejemplo .cu o .org y cancelo pues cancela!!!!!

Y no se supone que es asi como debe quedar? O es que deseas controlar el acceso a sld.cu ?

[fVckingmania.hell]

Realmente si tu navegas sin restriccion en .sld.cu el problema lo tienes en el navegador que tienes que configurarlo para que te excluya ese dominio del proxy (creo que el mismo infomed te dice como). Se estan contagiando con la gente de Microsoft que te dicen TODO lo que tienes que hacer